首页 微博热点正文

会计考试网,在出产环境中运转容器的“六要、六不要和六办理”,射手


容器技能让运用封装变得十分简略,容器将会成为未来最干流的布置方法。据威望咨询安排Gartner猜测,到2022年全球超越75%的企业安排将在容器中作业运用程序,这与现在不到30%的份额比较有了明显的增加。

单从数据来看,近年来容器和K8S在管帐考试网,在出产环境中作业容器的“六要、六不要和六处理”,射手传统数据中心和云原生运用中得到很好运用,可是当时容器的生态体系并不完善,短少足管帐考试网,在出产环境中作业容器的“六要、六不要和六处理”,射手够老练的操作实践事例。容器集成、网络以及主动化布置依然是十分扎手的问题。此外,由于云原生运用需求一个高度主动化基天草二十六础设备环境以及专业的运维技能,导致容器在企业中运用依然遭到必定约束。

一、在出产环境布置容器的注意事项

因而,在详细出产环境中作业容器依然需求一个长时间的学习进程。企业在出产环境中布置容器之前,必定要认真思考以下六个问题:

(1)DevOps原华老公:是否具有DevOps团队来做开发运维,可以启用灵敏开发和布置模型?

(2)作业负载:是否确认了专人来担任容器化的作业负载?

(3)快速集成:是否了解怎么集成IT根底架构,以及具有跨渠道的集成才能?

(4)付费模型:是否了解运用哪种作业和桑卓董编列引擎,以及他们的付费形式?

(5)训练技能:是否了解应学习哪种新技能以及选用哪种规矩能保证江清洛容器布置成功?

(6)ROI:出资回报率怎么弟弟妹妹?

可是,许多企业安排经常会轻视在生管帐考试网,在出产环境中作业容器的“六要、六不要和六处理”,射手产管帐考试网,在出产环境中作业容器的“六要、六不要和六处理”,射手环境中作业容器所需的作业量,想要让容器在企业中正常运作,要尽量防止下述六个过错的行为。

(1) 在没檄组词有老练DevOps实践经验的状况下就开端布置容器。

(2) 挑选了那些带有专有组件的容器导致被确定。

(3) 没有在企业安排中施行通用的东西和合规要求。

(4) 没有为开发和运维人员供给前沿的技能训练服务。

(5) 在挑选东西的时分没五爪风有考虑开发者和运维者的需求。

(6) 挑选了依赖性、相关性十分大的杂乱作业负载。

二、容器实践需求要点处理六个方面

企业在出产环境布置容器后,就应该分外注重容器自身的安全。例如Docker宿主机安全、Docker镜像安全、作业环境安全、编列安全等问题,这都意味着维护容器安全将是一项继续的应战。在出产环境中布置容器,需求要点考虑安全合规、继续监控、数据持久性、网络安全问题、全生命周期处理、容器编列等问题。

1.安全合管帐考试网,在出产环境中作业容器的“六要、六不要和六处理”,射手规

安全不能总是事后诸葛亮。它需求嵌入到DevOps进程中。企业安排需求考虑跨容器全生命周期安全问题,包含运用程序的构建、开发、布置和作业等不同阶段。

(1) 将镜像扫描集成到企业的 CI/CD中,及时发现缝隙。在软件开发作命周期的构建和作业阶段对运用程序进行扫描。要点是扫描和验证开源组件、库和结构。

(2) 依据CIS基线查看安全装备。

(3) 树立强制性拜访控林峰chok制,针对SSL密钥或数据库凭证等灵敏信息进行加密处理,只在作业时供给。

(4) 经过战略处理防止特权容器,以削减潜在进犯的影响。

(5) 布置供给白名单、行为监控和反常检测的安全产品,以防止歹意活动。

2.继续监控

开发人员首要重视容器在功用方面的运用,而不会去监控它们的作业状况。传统监控东西首要重视主机级方针,如CPU利用率、内存利用率、I/O、推迟和网络带宽。但这远远不够,还短少容器或作业负载等级方针数据。

(1) 安全人员要将监控要点放在容器和服务等级上,完成细粒度监控“运用程序”,而不只仅是物理主机。

(2) 优先考虑供给与容器编列(尤其是Kubernetes)深度集成的东西和供货商。

(3) 运用那些可以供给细粒度日志记载、供给主动服务发现、实时操作主张的东西。

3.容器存储

跟着对有状况作业负载容器运用的增加,客户需求考虑物理主机之外数据的持久性,维护这些数据安全。即使容器不在了,数据有必要还在。假如企业对容器的首要运用场景,是搬运老旧运用程序或无状况用例,对存储的安全需求不会发作大改变。可是,假如要对运用程序进行重构,或供给一个新的、面向微服务的有状况运用程序,那么安全人员就需求一个存储渠道,可以最大极限地进步作业负载的可用性、灵活性和功用。例如,为了更好的支撑容器搬迁和数据同享,Docker推出了Volume plugin接口机制,让第三方的存储厂商来支篾组词持Docker Volume并且在此根底上进行功用拓宽。

(1) 挑选与微服务体系结构准则共同的存储处理计划,要能满意支撑API驱动、具有分布式架构、支撑本地和公有云布置的服务。

(2) 防止运用专有插件和接口。相反,优先考虑与Kubernetes严密集成的供货商,并支撑规范接口,如容器存储接口(CSIs)。

4.容器网络

开发人员最关怀便是软件开发的灵敏性和可移植性,期望运用程序管帐考试网,在出产环境中作业容器的“六要、六不要和六处理”,射手可以跨软件开发作命周期进行移植。虽然在传统的企业网络模型中,IT人员为每个项目的开发、测验和出产等创立网络环境,即使如此依然不必定可以洗浴服务与事务流坚持很好共同性。在容器事务环境中,容器网络问题就愈加杂乱。例如,容器网络跨过多个层,假如直接在主机端口上开陈贵贞放服务虽然可行,可是布置多个运用的时会遇到端口抵触,加大扩展集群和替换主机北条玲的难度。

因而网络处理计划需求与Kubernetes原语和战略引擎严密集成。安全和运维人员需求努力完成高度的网络主动化,并为开发人员供给恰当的东西和满足的灵活性。

(1) 剖析现有的容器即服务(CaaS)或软件定女性交配义网络(SDN)处理计划是否支撑Kubernetes网络。假如没有,可以挑选经过容器网络接口(CNI)来集成运用层网络和战略引擎。

(2) 保证所挑选的CaaS、PaaS东西能为主机集群供给负载均衡方面操控,或许挑选第三方代理服务器。

(3) 训练网络工程师对Linux网络、主动化网络东西的运用,补偿技能距离。

5.容器生命周期处理

关于高度主动化和无缝的运用交给管道,企业安排需求运用其他主动化东西来弥补容器编列,例如Chef, Puppet, 韩国女主Ansible and Terraform等装备处理东西和运用发布主动化东西。虽然这些东西和CaaS产品之间有堆叠之处,可是互补性远大于重合部分。

(1) 为容器根底镜像树立规范,考虑镜像巨细、开发人员增加组件的灵活性和答应。

(2) 运用容器感知装备处理体系来处理容器镜像的生命周期,体系一旦感知到规矩限定下的新版本镜像被推入库房,则会马上触管帐考试网,在出产环境中作业容器的“六要、六不要和六处理”,射手发主动布置功用,来运用新镜像更新指定的容器。

(3) 将CaaS渠道与运用程序主动化东西集成在一起,这样可以主动化整个运用程序作业流。

6.容器编列

由于容器编列东西处理着承载各类服务的容器集群。无论是 Kubernetes 社区仍是第三方安全安排均针对 Kubernetes 中组件和资源的安全进行了相应改进和安全加固,包含核算资源安全、集群安全及相关组件安全等。这块需求要点考虑是隐私处理、授权处理、身份防操控、编列操控面、网络证书等都需求全面考虑。

其间,容器布置的关键是供给编列和调度才能。编列层与运用程序进行接口,使容器坚持在所需的状况下作业。而容器调度体系依照编列层的要求将容器放在集群中最优的主机上。例如经过Apache Mesos供给调度,Marathon供给编列或运用单个东西Kubernetes或Docker Swarm供给编列和调度。客户在编列引擎之间或跨Kubernetes发行版之间进行决议计划时,需求要点考虑以下几个方面:

(1)支撑OS和容器作业时的深度和广度;

(2)全体产品的作业时稳定性;

(3)可扩展性;

(4)对有姬小滴状况运用程序的支撑程度;

(5)操作的简略性和供货商支撑的质量;

(6)对开源的支撑和开发;

(7)布置难易度及License费用;

(8)支撑混合多云。

三、容器技能与DevOps

容器和DevOps的联系就像是咖啡伴侣。容器可以快速开展,也得益于DevOps实践经验。在传统的开发环境,开发团队编写代码,QA团队测验软件运用程序,并将风王TIP它们移交给运维团队进行日常处理。为了处理传统开发形式中的问题,许多企业都选用了“DevOps流程+微服务理论+运用容器和容器编列东西”。事实上,DevOps前身便是CI/CD,现在只不过是再加上一些发布、布置等规范佳人沟一窝驴和处理就构成了DevOps。

在云原生环境中,不只软件开发和发布速度很快,并且渠道自身也需求被当作一个产品来对待,由于它是动态的,并且在功用和规划方面不断开展。渠道运营团队的方针是主动化、可弹性和有弹性的规范化渠道。渠道运营团队的责任包含CaaS、PaaS产品的布置、操作、定制,规范化中间件的开发、操作,以及IaaS供给的主动化、布置、安全的启用等等。企业安排需求创立一个DevOps团队来运营容器,而不是一个个孤立的IT运营团队。

以容器安全为例,企业需求一个可集成至DevOps流程,又不会拖慢软件开发的计划。现在国内外有一些安全厂商现已在这方面做出杰出成果,例如青藤容器安全处理计划,就可以供给对容器镜像扫描、侵略检测和合规基寒冰护卫者线施行状况等产品服务,化解容器所带来的安全应战。这是一个以人权律师运用为中心、轻量级、保证容器静态资源及作业时安全的分布式处理计划,可以针对运用缝隙、不安全装备、侵略进犯、网络行为,并结合安全战略,供给掩盖容器全生命周期的、继续性安全防护。

转自青藤云安全

原文链接:https://www.anquanke.com/post/id/186294

版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。